alcune volte anche bloccando totalmente il sistema anche in modalità provvisoria.
Con la versione precedente (v.0.3.7) invece non c'e' alcun problema ne alcuna segnalazione e mi da questo log:
Sul mio sistema ho 4 HD:
1 HD SCSI da 34 GB (con 1 primaria FAT32 (win98), 1 estesa di cui 2 logiche)(Winxp Logica 1 NTFS, Dati/backup logica 2 NTFS)
2 HD SATA da 1 TB (una partizione NTFS)
1 HD IDE da 200 MB (una partizione NTFS)
Il sistema e' stabile non si riavvia ne si blocca ne ci sono rallentamenti o altro, l'unico dubbio e' nato solo dall'esecuzione della versione nuova dell'utility mbr, che come dicevo mi da quel problema.
Così ho effettuato scansioni del sistema con:
GMER v1.0.15.15227 (con l'ultima versione si blocca il sistema)
Avira
Kaspersky
Gdata
CureIT
fsbl
Norman_Sinowal_Cleaner
tdsskiller
mcafeeantivirusplustrial
prevxcsifree
ma mi hanno segnalato solo alcuni falsi positivi che alla fine ho comunque deciso di cancellare per sicurezza tanto erano versioni molto vecchie di alcuni programmi.
Ho anche provato a scansionare tramite l'ultility Bootkit Remover e mi da questo log (ho messo solo la parte finale):
dove in pratica mi dice che il sistema e' controllato da rootkit.
aswMBR invece mi da questo log:
A questo punto mi chiedo se il problema non sia dovuto magari al fatto che il S.O. Winxp e' installato su una partizione logica, ho letto infatti su una guida su ubuntu (anche se mi sembra strano) che:
cito testualmente:
"Le partizioni logiche vengono usate come le partizioni primarie, dalle quali differiscono per il fatto che sono contenute tutte dentro una partizione primaria estesa e le loro descrizioni non si trovano nell'MBR."
Quello che mi sembra strano e che le loro descrizioni non siano nel mbr.
Dato inoltre che stiamo parlando di rootkit/bootkit che si diffonde quindi in ambiente windows collegando ad es un dispositivo di memoria tipo hd o pendrive, ho voluto fare una prova ed in particolare ho:
- cancellato tramite il cd seatools (anche se a quanto ho letto opera in ambiente freedos) l'hd da 200GB con un EraseFull che corrisponde allo zero filling
- scollegato gli altri hd
- installato WinXP
e facendo un controllo mi ha dato questo log:
a questo punto mi sono detto se ricollegherò gli altri hd e farò partire il sistema da ide o scsi anche l'hd ide dovrà segnalare dopo l'infezione, ma non e' stato così.
Alla fine infatti facendo partire winxp dal ide e rifacendo il controllo mi ha dato lo stesso log.
Attualmente rieffettuando una scansione con mbr v0.4.2 il sistema si blocca anche in modalità provvisoria ma sono riuscito ad ottenere il log che e' questo:
Un altra cosa che ho notato avendo l'immagine della partizione di win 98 e di winxp e che trueimage non riesce a ripristinare l'immagine della partizione di win 98, con winxp invece non ci sono problemi (nel caso di win98 penso dipenda dal fatto che non riesce a sovrascrivere del tutto mbr) Sono riuscito a ripristinare il tutto con un immagine di tutto il vecchio disco scsi ripristinando l'intero disco e poi facendo un successivo ripristino della sola immagine aggiornata della partizione contenente winxp
Ultimamente ho anche cancellato alcuni files che erano stranamente dentro la cartella System Volume Information:
Ora però sinceramente dopo tutte queste scansioni e prove (che sul mio sistema sono davvero lunghissime una media di 9/10 ore a scansione) sto pensando seriamente di cancellare con uno zerofilling l'intero disco scsi (penso ci dovrebbe stare circa 3 ore dato che non e' grandissimo) ed installare di nuovo WinXp in modo pulito eliminando tra l'altro win98 che non uso da tanto tempo e chissà forse avrei perso meno tempo se avessi fatto così sin dall'inizio, ma volevo prima rendermi conto della situazione e vedere se potevo risolvere in modo più semplice.
Se e’ possibile però vorrei togliermi un dubbio, secondo voi facendo in questo modo senza fare il backup degli altri hd (nel mio caso 1 ide e 2 sata) con successivo zero filling cosa rischio dato che gli altri sembrano puliti?
Volendo cancellare anche questi il problema infatti non sarebbe solo nell'acquisto di un hd esterno ed il successivo backup sotto distro linux ma anche il tempo di cancellazione degli hd specie quelli da 1 TB che facendo 4 conti basandomi su un post di Uomo senza sonno ci vorrebbero almeno 3 giorno ininterrotti per ogni hd, e francamente vorrei evitare se e' possibile.
Se serve ecco i settori 0 dei 4 hd:
Metto direttamente i links (spero non sia un problema)(risoluzione 1920x1200):
HD Scsi:
http://imageshack.us/photo/my-images/84 ... dscsi.jpg/
HD 1 SATA
http://imageshack.us/photo/my-images/71 ... da1tb.jpg/
HD 2 SATA
http://imageshack.us/photo/my-images/86 ... da1tb.jpg/
HD IDE da 200 GB
http://imageshack.us/photo/my-images/20 ... 200gb.jpg/
Se può servire ho visto che sull' hd Ide da 200 GB e i due sata da 1 TB i settori dal 1 al 62 sono vuoti
Per ora resto in attesa e vi ringrazio in anticipo, e scusatemi per il post lunghissimo, ma e’ passato tanto tempo ed ho diciamo annotato tutte o quasi tutti le prove che ho fatto e i miei dubbi.
P.S.
Per lo zerofilling un volta scollegati (per sicurezza) gli altri hd ed individuato hd con il comando linux (dal terminale):
sudo sfdisk -l
mi pare di aver capito che dopo si deve eseguire questo comando per lo zero filling:
sudo dd if=/dev/zero of=/dev/<device> bs=512
dove al posto di device devo mettere il nome del mio hd, giusto?
E mi chiedo inoltre e se avessi avuto un HD ssd ? in questo caso avrebbe funzionato lo zero filling e soprattutto non avrebbe diminuito la vita del'hd stesso?
Scusate le tante domande e dubbi ma anche essendo un tecnico informatico non mi e' mai capitato di fare uno zero filling ne di usare linux e relativi comandi console, anche se noto con piacere che rispetto ad es. a winpe sembra molto più versatile e comodo oltre a permettere un trasferimento files in tutta sicurezza.
Ciao e grazie a tutti in anticipo
![Smile [:)]](http://www.megalab.it/forum/images/smilies/smile.gif)
![Ciao [ciao]](http://www.megalab.it/forum/images/smilies/Ciao.gif)